资源描述
,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,HM-044 VPN,协议原理及配置,ISSUE 5.1,日期:,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,掌握,VPN,的概念和分类,掌握实现,IP VPN,的相关协议,掌握,VPN,的配置,课程目标,学习完本课程,您应该能够:,VPN,概述,L2TP,GRE,IPSec&IKE,目录,VPN,的定义,VPN Virtual Private Network,合作伙伴,Internet,出差员工,隧道,专线,办事处,总部,分支机构,异地办事处,VPN,的分类,按应用类型分类:,Access VPN,Intranet VPN,Extranet VPN,按实现的层次分类:,二层隧道,VPN,三层隧道,VPN,VPDN,POP,POP,用户直接发起连接,POP,ISP,发起连接,总部,隧道,适用范围:,出差员工,异地小型办公机构,Intranet VPN,Internet/ISP IP,ATM/FR,隧道,总部,研究所,办事处,分支机构,Extranet VPN,Internet/ISP IP,ATM/FR,总部,合作伙伴,异地办事处,分支机构,按实现的层次分类,二层隧道,VPN,L2TP,:Layer 2 Tunnel Protocol(RFC 2661),PPTP:Point To Point Tunnel Protocol,L2F:Layer 2 Forwarding,三层隧道,VPN,GRE:Generic Routing Encapsulation,IPSEC:IP Security Protocol,VPN,设计原则,安全性,隧道与加密,数据验证,用户验证,防火墙与攻击检测,可靠性,经济性,扩展性,VPN,概述,L2TP,GRE,IPSec&IKE,目录,L2TP,协议概述,L2TP:Layer 2 Tunnel Protocol,第二层隧道协议,是为在用户和企业的服务器之间透明传输,PPP,报文而设置的隧道协议。,特性,灵活的身份验证机制以及高度的安全性,多协议传输,支持,RADIUS,服务器的验证,支持内部地址分配,网络计费的灵活性,可靠性,使用,L2TP,构建,VPDN,PSTN/ISDN,LAN,LAN,分支机构,总部,LAC,LNS,H3C NAS,H3C Router,L2TP,消息,数据消息,控制消息,会话,隧道,出差员工,LAC:L2TP Access Concentrator L2TP,的接入集中器,LNS:L2TP Network Server L2TP,的网络服务器,LAC/LNS Radius:LAC/LNS,的远端验证服务器,LAC RADIUS,LNS RADIUS,L2TP,隧道和会话建立流程,LAC,LNS,SCCRQ,SCCRP,SCCCN,LAC,LNS,ICRQ,ICRP,ICCN,隧道、会话建立流程,L2TP,的会话建立由,PPP,触发,隧道建立由会话触发。由于多个会话可以复用在一条隧道上,如果会话建立前隧道已经建立,则隧道不用重新建立。,隧道建立流程:三次握手,会话建立流程:三次握手,L2TP,隧道和会话维护和拆除流程,隧道维护流程,隧道拆除流程,会话维护流程,LAC/LNSLNS/LAC,StopCNN,ZLB,LAC/LNSLNS/LAC,CDN,ZLB,LAC/LNSLNS/LAC,Hello,ZLB,L2TP,协议栈结构及数据包的封装过程,私有,IP,PPP,L2TP,UDP,公有,IP,链路层,物理层,物理层,私有,IP,PPP,IP,包,(,公有,IP),UDP,L2TP,PPP,IP,包,(,私有,IP),链路层,私有,IP,PPP,物理层,L2TP,UDP,公有,IP,链路层,物理层,物理层,私有,IP,链路层,物理层,Client,LAC,LNS,Server,LAC,侧封装过程,LNS,侧解封装过程,L2TP,协议栈结构,L2TP,的配置任务及命令(,1,),LAC,侧的配置,设置用户名、密码及配置用户验证,启用,L2TP,H3C l2tp enable,创建,L2TP,组,H3C l2tp-group,group-number,设置发起,L2TP,连接请求及,LNS,地址,H3C-l2tp1start l2tp,ip,ip,-address,ip,ip,-address,domain,domain-name,|,fullusername,user-name,L2TP,的配置任务及命令(,2,),LNS,侧的配置,设置用户名、密码及配置用户验证,启用,L2TP,H3C l2tp enable,创建,L2TP,组,H3C l2tp-group,group-number,创建虚接口模板,H3C interface virtual-template,virtual-template-number,设置本端地址及为用户分配的地址池,H3C-Virtual-Template1,ip,address,X.X.X.X,netmask,H3C-Virtual-Template1 remote address pool,pool-number,L2TP,的配置任务及命令(,3,),LNS,侧的配置,设置接收呼叫的虚拟接口模板、通道对端名称和域名,L2TP,组不为,1,:,H3C-l2tp1,allow l2tp virtual-template,virtual-template-number,remote,remote-name,domain,domain-name,L2TP,组为,1,:,H3C-l2tp1,allow l2tp virtual-template,virtual-template-number,remote,remote-name,domain,domain-name,Internet,L2TP,的配置举例,LNS local-user vpdnuser,LNS-luser-vpdnuser password simple Hello,LNS interface virtual-template 1,LNS-virtual-template1,ip,address 192.168.0.1 255.255.255.0,LNS-virtual-template1,ppp,authentication-mode chap domain,LNS domain,LNS-isp-scheme local,LNS-isp-,ip,pool 1 192.168.0.2 192.168.0.100,LNS l2tp enable,LNS l2tp-group 1,LNS-l2tp1 tunnel name LNS,LNS-l2tp1 allow l2tp virtual-template 1 remote LAC,LNS-l2tp1 tunnel authentication,LNS-l2tp1 tunnel password simple h3c,LAC local-user vpdnuser,LAC-luser-vpdnuser password simple Hello,LAC domain,LAC-isp-scheme local,LAC l2tp enable,LAC l2tp-group 1,LAC-l2tp1 tunnel name LAC,LAC-l2tp1 start l2tp,ip,202.38.160.2 domain,LAC-l2tp1 tunnel authentication,LAC-l2tp1 tunnel password simple h3c,LNS,LAC,PSTN,L2TP,的可选参数配置(,1,),LAC,侧和,LNS,侧可选配的参数,设置本端名称,H3C-l2tp1,tunnel name,name,启用隧道验证及设置密码,H3C-l2tp1,tunnel authentication,H3C-l2tp1,tunnel password,simple|cipher,password,设置通道,Hello,报文发送时间间隔,H3C-l2tp1,tunnel timer hello,hello-interval,L2TP,的可选参数配置(,2,),LAC,侧和,LNS,侧可选配的参数,配置域名分隔符及查找顺序,设置前缀分隔符,H3C-l2tp1 l2tp domain prefix-separator,separator,设置后缀分隔符,H3C-l2tp1 l2tp domain suffix-separator,separator,设置查找规则,H3C-l2tp1 l2tp match-order,dnis,-domain|,dnis,|domain-,dnis,|domain,强制挂断通道,reset l2tp tunnel,remote-name,|,tunnel-id,L2TP,的可选参数配置(,3,),LNS,侧可选配的参数,强制本端,CHAP,验证,H3C-l2tp1,mandatory-chap,强制,LCP,重新协商,H3C-l2tp1,mandatory-,lcp,L2TP,隧道和会话的验证过程,呼叫建立,PPP LCP,协商通过,LAC CHAP Challenge,用户,CHAP Response,隧道验证,(,可选,),SCCRP(LNS CHAP Response&LNS CHAP Challenge),SCCRQ(LAC CHAP Challenge),SCCCN(LAC CHAP Response),ICCN,(用户,CHAP Response&PPP,已经协商好的参数),LNS CHAP Challenge,可选的第二次验证,用户,CHAP Response,验证通过,PSTN,/ISDN,Internet,LAC,LNS,L2TP,显示和调试,显示当前的,L2TP,通道的信息,H3C display l2tp tunnel,LocalID,RemoteID,RemName,RemAddress,Sessions Port,1 8 AS8010 172.168.10.2 1 1701,Total tunnels=1,显示当前的,L2TP,会话的信息,H3C display l2tp session,LocalID,RemoteID,TunnelID,112,Total session=1,打开,L2TP,调试信息开关,debugging l2tp all|control|dump|error|event|hidden|payload|time-stamp,L2TP,排错,用户登录失败,Tunnel,建立失败,在,LAC,端,,LNS,的地址设置不正确,LNS,(通常为路由器)端没有设置可以接收该隧道对端的,L2TP,组,Tunnel,验证不通过,如果配置了验证,应该保证双方的隧道密码一致,PPP,协商不通过,LAC,端设置的用户名与密码有误,或者是,LNS,端没有设置相应的用户,LNS,端不能分配地址,比如地址池设置的较小,或没有进行设置,密码验证类型不一致,数据传输失败,在建立连接后数据不能传输,如,Ping,不通对端,用户设置的地址有误,网络拥挤,VPN,概述,L2TP,GRE,IPSec&IKE,目录,GRE,GRE(Generic Routing Encapsulation):,是对某些网络层协议(如:,IP,,,IPX,,,AppleTalk,等)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如,IP,)中传输。,GRE,提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输,异种报文传输的通道称为,tunnel,。,GRE,协议栈,IP/IPX,GRE,IP,链路层协议,乘客协议,封装协议,运输协议,GRE,协议栈,隧道接口的报文格式,链路层,GRE,IP/IPX,IP,Payload,使用,GRE,构建,VPN,Original Data Packet,Transfer Protocol Header,GRE Header,Internet,Tunnel,企业总部,分支机构,GRE,的配置任务及命令,创建虚拟,Tunnel,接口,H3C,interface tunnel,number,指定,Tunnel,的源端,H3C,-Tunnel0,source,ip-addr,|interface-type interface-num,指定,Tunnel,的目的端,H3C,-Tunnel0,destination,ip,-address,设置,Tunnel,接口的网络地址,H3C,-Tunnel0,ip,address,ip,-address,mask,GRE,的配置举例,RouterB-Serial0/0,ip,address 202.38.160.2 255.255.255.0,RouterB-Ethernet0/0,ip,address 10.1.2.1 255.255.255.0,RouterB,interface tunnel 0,RouterB-Tunnel0,ip,address 1.1.1.2 255.255.255.0,RouterB-Tunnel0 source 202.38.160.2,RouterB-Tunnel0 destination 202.38.160.1,RouterB,ip,route-static 10.1.1.0 255.255.255.0 tunnel0,RouterA-Serial0/0,ip,address 202.38.160.1 255.255.255.0,RouterA-Ethernet0/0,ip,address 10.1.1.1 255.255.255.0,Router interface tunnel 0,RouterA-Tunnel0,ip,address 1.1.1.1 255.255.255.0,RouterA-Tunnel0 source 202.38.160.1,RouterA-Tunnel0 destination 202.38.160.2,RouterA,ip,route-static 10.1.2.0 255.255.255.0 tunnel0,T0:1.1.1.2/24,Internet,S0/0:202.38.160.2/24,S0/0:202.38.160.1/24,E0/0:10.1.2.1/24,E0/0:10.1.1.1/24,T0:1.1.1.1/24,A,B,GRE,的可选参数配置,设置,Tunnel,接口报文的封装模式,H3C-Tunnel0,tunnel-protocol,gre,设置,Tunnel,两端进行端到端校验,H3C-Tunnel0,gre,checksum,设置,Tunnel,接口的识别关键字,H3C-Tunnel0,gre,key,key-number,配置通过,Tunnel,的路由,静态路由配置,动态路由配置,GRE,的显示和调试,显示,Tunnel,接口的工作状态,display interface tunnel,number,例如:,H3C display interfaces tunnel 1,Tunnel1 is up,line protocol is up,Maximum Transmission Unit is 128,Internet address is 1.1.1.1 255.255.255.0,10 packets input,640 bytes,0 input errors,0 broadcast,0 drops,10 packets output,640 bytes,0 output errors,0 broadcast,0 no protocol,打开,Tunnel,调试信息,debugging tunnel,VPN,概述,L2TP,GRE,IPSec&IKE,目录,IPSec,IPSec,(,IP Security,)是,IETF,制定的为保证在,Internet,上传送数据的安全保密性能的框架协议,IPSec,包括报文验证头协议,AH,(协议号,51,)和封装安全载荷协议,ESP,(协议号,50,)两个协议,IPSec,有隧道(,tunnel,)和传输(,transport,)两种工作方式,IPSec,的组成,IPSec,提供两个安全协议,AH(Authentication Header),报文验证头协议,MD5(Message Digest 5),SHA1(Secure Hash Algorithm),ESP(Encapsulation Security Payload),封装安全载荷协议,DES(Data Encryption Standard),3DES(Triple DES),AES(Advanced Encryption Standard),IPSec,的安全特点,数据机密性(,Confidentiality,),数据完整性(,Data Integrity,),数据来源认证(,Data Origin Authentication,),反重放(,Anti-Replay,),IPSec,基本概念,数据流,(Data Flow),安全联盟,(Security Association),安全参数索引,(Security Parameter Index),安全联盟生存时间,(Life Time),安全提议,(Security Proposal),安全策略,(Security Policy),AH,协议,数据,IP,包头,数据,IP,包头,AH,数据,原,IP,包头,AH,新,IP,包头,传输模式,隧道模式,下一个头,负载长度,保留域,安全参数索引,(SPI),序列号,验证数据,AH,头结构,0,8,16,31,ESP,协议,数据,IP,包头,加密后的数据,IP,包头,ESP,头部,ESP,头,新,IP,包头,传输模式,隧道模式,ESP,尾部,ESP,验证,ESP,尾部,ESP,验证,0,8,16,24,安全参数索引,(SPI),序列号,有效载荷数据(可变),填充字段,(0-255,字节),填充字段长度,下一个头,验证数据,ESP,协议包结构,数据,原,IP,包头,加密部分,IKE,IKE,(,Internet Key Exchange,,因特网密钥交换协议),为,IPSec,提供了自动协商交换密钥、建立安全联盟的服务,通过数据交换来计算密钥,IKE,的安全机制,完善的前向安全性,数据验证,身份验证,身份保护,DH,交换和密钥分发,IKE,的交换过程,SA,交换,密钥交换,ID,交换及验证,发送本地,IKE,策略,身份验证和,交换过程验证,密钥生成,密钥生成,接受对端,确认的策略,查找匹配,的策略,身份验证和,交换过程验证,确认对方使用的算法,产生密钥,验证对方身份,发起方策略,接收方确认的策略,发起方的密钥生成信息,接收方的密钥生成信息,发起方身份和验证数据,接收方的身份和验证数据,Peer1,Peer2,DH,交换及密钥产生,a,c=,g,a,modp,d,a,modp,peer2,peer1,b,d=,g,b,modp,c,b,modp,d,a,modp,=,c,b,modp,=,g,ab,modp,(g,p),IKE,在,IPSec,中的作用,降低手工配置的复杂度,安全联盟定时更新,密钥定时更新,允许,IPSec,提供反重放服务,允许在端与端之间动态认证,IPSec,与,IKE,的关系,IKE,TCP,UDP,IPSec,IKE,TCP,UDP,IPSec,加密的,IP,报文,IP,IKE,的,SA,协商,SA,SA,IPSec,配置前的准备,确定需要保护的数据,确定使用安全保护的路径,确定使用哪种安全保护,确定安全保护的强度,Internet,IPSec,的配置任务,配置访问控制列表,定义安全提议,创建安全提议,选择安全协议,选择安全算法,选择报文封装形式,创建安全策略,手工创建安全策略,用,IKE,创建安全策略,在接口上应用安全策略,IPSec,的配置任务及命令(,1,),配置访问控制列表,定义安全提议,创建安全提议,H3C,ipsec,proposal,proposal-name,选择报文封装形式,H3C-ipsec-proposal-tran1,encapsulation-mode transport|tunnel,选择安全协议,H3C-ipsec-proposal-tran1 transform ah|ah-,esp,|,esp,选择安全算法,H3C-ipsec-proposal-tran1,esp,encryption-algorithm 3des|des|,aes,H3C-ipsec-proposal-tran1,esp,authentication-algorithm md5|sha1,H3C-ipsec-proposal-tran1 ah authentication-algorithm md5|sha1,IPSec,的配置任务及命令(,2,),创建安全策略,手工创建安全策略,手工创建安全策略,H3C,ipsec,policy,policy-name,seq,-number,manual,在安全策略中引用安全提议,H3C-ipsec-policy-manual-map1-10 proposal,proposal-name1,proposal-name2,.,proposal-name6,在安全策略中引用访问控制列表,H3C-ipsec-policy-manual-map1-10 security,acl,acl,-number,配置隧道的起点和终点,H3C-ipsec-policy-manual-map1-10 tunnel local,ip,-address,H3C-ipsec-policy-manual-map1-10 tunnel,remote,ip,-address,配置安全联盟的,SPI,H3C-ipsec-policy-manual-map1-10,sa,spi,inbound|outbound ah|,esp,spi,-number,IPSec,的配置任务及命令(,3,),创建安全策略,手工创建安全策略,配置安全联盟使用的密钥,配置协议的验证密钥(以,16,进制方式输入),H3C-ipsec-policy-manual-map1-10sa authentication-hex inbound|outbound ah|,esp,hex-key,配置协议的验证密钥(以字符串方式输入),H3C-ipsec-policy-manual-map1-10sa string-key inbound|outbound ah|,esp,string-key,配置,ESP,协议的加密密钥(以,16,进制方式输入),H3C-ipsec-policy-manual-map1-10sa encryption-hex inbound|outbound,esp,hex-key,IPSec,的配置任务及命令(,4,),创建安全策略,用,IKE,创建安全策略,用,IKE,创建安全策略,H3C,ipsec,policy,policy-name,seq,-number,isakmp,在安全策略中引用安全提议,H3C-ipsec-policy-isakmp-map1-10 proposal,proposal-name1,proposal-name2,.,proposal-name6,在安全策略中引用访问控制列表,H3C-ipsec-policy-isakmp-map1-10 security,acl,acl,-number,在安全策略中引用,IKE,对等体,H3C-ipsec-policy-isakmp-map1-10,ike,-peer,peer-name,在接口上应用安全策略,H3C-Serial0/0,ipsec,policy,policy-name,IKE,的配置任务,配置本端安全网关的名字,定义,IKE,安全提议(系统提供一条缺省的,IKE,安全提议),配置,IKE,对等体,IKE,的配置任务,配置本端安全网关的名字,定义,IKE,安全提议(系统提供一条缺省的,IKE,安全提议),创建,IKE,安全提议,选择加密算法,选择验证方法,选择验证算法,选择,Diffie-Hellman,组标识,配置,ISAKMP SA,生存周期(可选),配置,IKE,对等体,创建,IKE,对等体,配置,IKE,协商模式,配置身份验证字,配置,ike,协商过程中使用的,ID,类型,指定对端安全网关设备的,ID,配置本端及对端安全网关设备的,IP,地址,配置,NAT,穿越功能,配置最大连接数,IKE,的配置任务及命令(,1,),配置本端安全网关的名字,H3C,ike,local-name,id,定义,IKE,安全提议(系统提供一条缺省的,IKE,安全提议),创建,IKE,安全提议,H3C,ike,proposal,proposal-number,选择加密算法,H3C-ike-proposal-1 encryption-algorithm des-,cbc,|3des-cbc,选择验证方法,H3C-ike-proposal-1authentication-method pre-share|,rsa,-signature,选择验证算法,H3C-ike-proposal-1 authentication-algorithm md5,|,sha,选择,Diffie-Hellman,组标识,H3C-ike-proposal-1 dh group1,|,group2,配置,ISAKMP SA,生存周期(可选),H3C-ike-proposal-1,sa,duration,seconds,IKE,的配置任务(,2,),配置,IKE,对等体,创建,IKE,对等体,H3C,ike,peer,peer-name,配置,IKE,协商模式,H3C-ike-peer-1 exchange-mode aggressive|main,配置身份验证字,H3C-ike-peer-1 pre-shared-key,key,配置,ike,协商过程中使用的,ID,类型,H3C-ike-peer-1 id-type,ip,|name,指定对端安全网关设备的,ID,H3C-ike-peer-1 remote-name,name,配置本端及对端安全网关设备的,IP,地址,H3C-ike-peer-1 local-address,ip,-address,H3C-ike-peer-1 remote-address,ip,-address,IKE,的配置任务(,3,),配置,IKE,对等体,配置,NAT,穿越功能,H3C-ike-peer-1,nat,-traversal,配置最大连接数,H3C-ike-peer-1 max-connections,number,IPSec,的配置举例,Internet,S0/0:202.38.160.2/24,S0/0:202.38.160.1/24,E0/0:10.1.2.1/24,E0/0:10.1.1.1/24,A,B,PC1,:,10.1.1.2/24,PC2:10.1.2.2/24,H3C,acl,number 3000,H3C-acl-adv-3000 rule permit,ip,source 10.1.1.0 0.0.0.255 destination,10.1.2.0 0.0.0.255,H3C-acl-adv-3000 rule deny,ip,source any destination any,H3C,ip,route-static 10.1.2.0 255.255.255.0 202.38.160.2,H3C,ipsec,proposal tran1,H3C-ipsec-proposal-tran1 encapsulation-mode tunnel,H3C-ipsec-proposal-tran1 transform,esp,H3C-ipsec-proposal-tran1,esp,encryption-algorithm des,H3C-ipsec-proposal-tran1,esp,authentication-algorithm sha1,H3C-ipsec-proposal-tran1 quit,H3C,ike,peer,peer,H3C-ike-peer-peer pre-share-key,abcde,H3C-ike-peer-peer remote-address 202.38.160.2,H3C,ipsec,policy map1 10,isakmp,H3C-ipsec-policy-isakmp-map1-10 proposal tran1,H3C-ipsec-policy-isakmp-map1-10 security,acl,101,H3C-ipsec-policy-isakmp-map1-10,ike,-peer peer,H3C-ipsec-policy-isakmp-map1-10 quit,H3C interface serial0/0,H3C-Serial0/0,ip,address 202.38.160.1 255.255.255.0,H3C-Serial0/0,ipsec,policy map1,H3C interface ethernet0/0,H3C-Ethernet0/0,ip,address 10.1.1.1 255.255.255.0,IPSec,的显示与调试,IPSec,显示与调试,显示安全联盟的相关信息,display,ipsec,sa,brief|remote,ip,-address,|policy,policy-name,seq,-number,|duration,显示,IPSec,处理报文的统计信息,display,ipsec,statistics,显示安全提议的信息,display,ipsec,proposal,proposal-name,显示安全策略的信息,display,ipsec,policy brief|name,policy-name,seq,-number,打开,IPSec,的调试功能,debugging,ipsec,sa,|,packet,policy,policy-name,seq,-number,|,parameters,ip,-address protocol,spi,-number,|,misc,IPSec,的显示与调试,清除,IPSec,的报文统计信息,reset,ipsec,statistics,删除安全联盟,reset,ipsec,sa,remote,i,p,-address,|policy,policy-name,seq,-number,|parameters,dest,-address,protocol,spi,IKE,的显示与调试,显示当前已建立的安全通道,display,ike,sa,显示每个,IKE,提议配置的参数,display,ike,proposal,删除安全隧道,reset,ike,sa,connection-id,打开,IKE,的调试信息,debugging,ike,error,|,exchange,|,message,|,misc,|,transport,IPSec,故障诊断与排错,非法用户身份信息,检查协商两端接口上配置的安全策略中的,ACL,内容是否相容。,建议用户将两端的,ACL,配置成互为镜像的。,提议不匹配,对于阶段,1,,检查,IKE proposal,是否有与对方匹配的。,对于阶段,2,协商,检查双方接口上应用的,IPsec,安全策略的参数是否匹配,引用的,IPsec,安全提议的协议、加密算法和验证算法是否有匹配的。,无法建立安全通道,使用,reset,ike,sa,命令清除错误存在的,SA,,重新发起协商。,VPN,概述,L2TP,协议原理及配置方法,GRE,协议原理及配置方法,IPSec,协议原理及配置方法,VPN,配置常见故障处理,本章总结,
展开阅读全文